計算機病毒的起源(摘自《牛頓》雜誌)
計算機病毒的歷史:磁芯之戰
電腦病毒不是最近才出現的新產品。事實上,早在1949年,也就是第壹臺商用計算機出現的幾年前,計算機的先驅約翰·馮·諾依曼就在他的論文【復雜自動機的理論和組織】中勾勒出了病毒程序的藍圖。當時,大多數計算機專家都無法想象這種自我傳播的程序是可能的,但少數科學家默默研究了範·紐曼提出的概念,直到十年後,在貝爾的實驗室AT&: T,這些概念在壹個非常奇怪的叫做核心戰爭的電子遊戲中形成。
磁心大戰是貝爾實驗室的三個年輕程序員在工作之余構思出來的。他們是道格拉斯·麥克洛伊、維克多·維索特斯基和羅伯特·t·莫裏斯,都是20多歲。
註:羅伯特·t·莫裏斯(Robert T. Morris)是小羅伯特·t·莫裏斯(Robert T. Morris Jr)的父親,後者後來寫了壹個讓互聯網天翻地覆的蠕蟲病毒。當時,大莫裏斯正好負責阿帕網的網絡安全。
計算機病毒的始祖:
磁心大戰的遊戲是這樣的:雙方各寫壹套程序,輸入同壹臺電腦。這兩個程序在電腦裏嗎?在記憶系統中,他們互相追逐,有時會放下壹些關卡,有時會停下來修復(重寫)被對方破壞的幾行指令;當它被困住時,還能自我復制壹次,脫離危險,因為它們都遊走在電腦的內存磁芯中,所以它得到了磁芯大戰的名字。
這個遊戲的特點是,雙方的程序進入電腦後,玩家只能觀看屏幕上顯示的戰況,不能做任何改動,直到壹方的程序被另壹方的程序完全[吃掉]。
磁心戰是壹個統稱,其實可以細分為幾種。麥耀來寫的程序叫【達爾文】,裏面有【物競天擇,適者生存】的意思。它的遊戲規則與上面描述的最接近。雙方都用匯編語言編寫了壹套程序,叫做有機體,這兩個有機體在計算機中無休止地爭鬥,直到壹方拿下另壹方。
此外,還有壹個程序叫Creeper,每次讀出的時候都會自我復制。此外,它會通過連接從壹臺計算機[爬行]到另壹臺計算機。很快電腦裏的原始數據就會被這些爬蟲榨幹。爬蟲的微觀生存目的是繁殖。為了對付【爬蟲】,有人寫了【收割者】(Reaper)。摧毀他們。當所有的爬蟲都被收割後,收割者將執行程序中的最後壹條指令:毀滅自己,從電腦中消失。侏儒沒有達爾文等程序聰明,但他極其危險。他在內存系統中前進,每次到第五個](地址,那裏存儲的東西就會變成零,這樣就會關閉原程序。
最奇怪的是壹個叫】(Imp)的戰爭程序,它只有壹行指令,就是
MOV 01
MOV代表[移動],意思是移動。它將它所在的地址中的[0]寫入(移動)到下壹個地址。當IMP采取行動時,計算機中的每壹行指令都變成[MOV 01]。換句話說,屏幕上還剩下很多[MOV01]。【雙子座】也是個有趣的家夥。它只有壹個功能:復制自己,發送到後面的100個地址,然後丟棄[原文]。雙子座衍生出壹系列程序。[Juggeraut]復制自身並將其發送到接下來的10個地址。另壹方面,大腳怪將原件和副本之間的地址設置為壹個大質數。很難抓住大腳怪。此外,還有施樂公司白鹿阿圖研究中心的約翰·F·肖克(John F.Shoch)編寫的“蠕蟲”,其目的是控制入侵的電腦。
計算機病毒的出現
在那個年代,計算機是不相連的,而是相互獨立的,所以不會有小莫李氏引起的病毒瘟疫。如果計算機被感染並失去控制,工作人員只需將其關閉。但是當電腦連接逐漸成為社會結構的壹部分,壹個病毒程序或者自我復制的病毒程序就有可能被帶來?貧困是壹種禍害。因此,長期以來,知道如何玩“核心戰爭”遊戲的計算機工作者在嚴守壹制定了壹條不成文的規定,即這些戰爭程序的內容不得向普通公眾公開。
1983年,這個規則被打破了。肯·湯普森是那年壹次傑出的計算機演講的獲勝者。在頒獎典禮上,他做了壹個演講,不僅公開證實了計算機病毒的存在,還告訴所有的聽眾如何編寫自己的病毒程序。他所有的同事都嚇壞了,但秘密已經傳開了。1984年,情況變得更加復雜。今年,《科學美國人》的專欄作家A. K. Dewdney在5月刊上寫了第壹篇關於“磁心大戰”的文章,任何讀者只要寄兩塊錢在家裏的電腦裏開辟壹個戰場,就可以收到他寫的程序。
[病毒]壹詞的正式出現
在1985年3月的[科學美國人]中,Dutney再次討論了[磁心戰爭]-和病毒。文章開頭他說:【去年5月份關於【磁心大戰】的文章印出來的時候,我沒有想到我說的是這麽嚴肅的話題】並且第壹次提到了【病毒】這個名字。他提到,意大利的Roberto Cerruti和Marco Morocutti發明了壹種破壞軟件的方法。他們想讓Apple II電腦感染病毒,而不是蠕蟲。
有魯迪給杜特尼寫了壹封信,信中寫道:【馬可想寫壹個類似[病毒]的程序,可以從壹臺蘋果電腦感染到另壹臺。但我們不能這樣做,直到我認為病毒應該先感染磁盤,電腦只是媒介。這樣,病毒就可以從壹個磁盤感染到另壹個磁盤。]
病毒的歷史示例:
1975年,美國科普作家約翰·布魯納(John Brunner)寫了壹本名為《沖擊波騎士》(Shock Wave Rider)的書,首次描述了計算機作為信息社會正義與邪惡鬥爭的工具的故事,成為當年最暢銷的書籍之壹。
1977年夏天,托馬斯。J.Ryan的科幻小說《P-1的青春期》成為美國暢銷書。在這本書裏,作者描述了壹種可以在電腦裏互相傳染的病毒,病毒最終控制了7000個。
1983 165438+10月3日,弗雷德·科恩博士開發出壹種破壞性程序,可以在運行過程中自我復制,萊恩·阿德曼將其命名為計算機病毒。在每周壹次的計算機安全研討會上,正式提出八小時後,專家在VAX11/750計算機系統上運行,第壹次病毒實驗成功,壹周後允許演示五次實驗,從而驗證了實驗中計算機病毒的存在。
1986年初,在巴基斯坦拉合爾,Basit和Amjad兩兄弟經營著壹家IBM-PC及其兼容機的小店。他們寫了巴基斯坦病毒,大腦。壹年之內就傳遍了全世界。
1988年3月2日,Mac爆發病毒。那壹天,被感染的Mac停止工作,只顯示“向所有Mac電腦用戶宣告和平”的信息。來慶祝Mac的生日。
1988 165438+10月2日,美國6000多臺電腦感染病毒,導致互聯網無法正常運行。這是壹起非常典型的計算機病毒入侵計算機網絡事件,迫使美國政府立即做出反應,國防部成立了計算機應急行動小組。此次事件中的攻擊包括5個計算機中心和12個區域節點,連接政府、大學、研究所和5萬臺有政府合同的計算機。在這次病毒事件中,計算機系統的直接經濟損失達9600萬美元。這個病毒的程序員是羅伯特·T·莫裏斯(Robert T.Morris),當時23歲,是康奈爾大學攻讀學位的研究生。
羅伯特·莫裏斯設計的病毒程序利用了系統的弱點。由於羅伯特·莫裏斯成為阿帕網最大的電子入侵者,他被允許參加康奈爾大學的畢業設計,並被授予哈佛大學艾肯中心超級用戶的特權。他還被判處3年緩刑,罰款654.38+0萬美元。他還被命令在新區服務400小時。
註意:在本文中,我們經常提到的蠕蟲和病毒被歸類為不同類型的病毒。
1988結尾,在中國國家統計部門發現球狀病毒。
-
在病毒發展史上,病毒的出現是有規律的。壹般新的病毒技術出現後,病毒發展迅速,然後反病毒技術的發展會抑制其傳播。當操作系統升級時,病毒也會調整到新的方式,從而產生新的病毒技術。它可以分為:
DOS引導階段
1987計算機病毒主要是引導病毒,代表病毒有“小球”和“石頭”病毒。
那時候的電腦硬件少,功能簡單,壹般需要軟盤啟動。可引導病毒利用軟盤的啟動原理工作。它們修改系統啟動扇區,在計算機啟動時先獲得控制權,減少系統內存,修改磁盤讀寫中斷,影響系統工作效率,在系統訪問磁盤時擴散。1989年,開機病毒發展到感染硬盤,典型代表就是“石頭2”。
DOS可執行階段
1989,可執行文件病毒出現。他們利用DOS系統中加載和執行文件的機制,以“耶路撒冷”和“星期日”病毒為代表。病毒代碼在系統執行文件時獲得控制權,修改DOS中斷,在系統調用時被感染,並將其自身附加到可執行文件中,從而增加了文件長度。1990,發展成復合病毒,可以感染com和EXE文件。
伴隨,批量階段
1992出現了伴生病毒,它們利用DOS中加載文件的優先級來工作。比較有代表性的就是“金蟬”病毒,它在感染EXE文件的時候會生成壹個與EXE同名,擴展名為COM的同伴。當它感染壹個COM文件時,它會將原來的COM文件更改為同名的EXE文件,然後生成壹個具有原來名稱和COM文件擴展名的同伴。這樣,當DOS加載文件時,病毒就獲得了控制權。這種病毒的特點是不改變原始文件內容、日期和屬性,在清除病毒時只刪除其同伴。在非DOS操作系統中,壹些伴生病毒是利用操作系統的描述語言來工作的,比較典型的就是“海盜旗”病毒。執行時,它會詢問用戶名和密碼,然後返回壹條錯誤消息並刪除自己。批量病毒是壹種在DOS下工作的病毒,類似於盜旗病毒。
幽靈,多態階段
1994,隨著匯編語言的發展,同樣的功能可以用不同的方式來完成,這些方式的組合使得壹段看似隨機的代碼產生了同樣的運算結果。Ghost病毒正是利用了這壹特點,每次感染都會產生不同的代碼。比如“半”病毒,就是生成壹段有上億種可能解碼算法的數據,病毒體在解碼前就隱藏在數據中,需要解碼這壹段數據才能查出這類病毒,增加了病毒檢測的難度。多態病毒是壹種綜合性病毒,可以感染引導區和程序區。大部分都有解碼算法,壹個病毒往往需要兩個以上的子程序才能清除。
發電機,不同的機器級
1995在匯編語言中,有些數據操作放在不同的通用寄存器中,也能得到同樣的結果。隨機插入壹些空操作和無關指令,操作結果不受影響。這樣,生成器可以生成解碼算法。當壹個病毒產生後,就產生了這個被稱為病毒生成器和變種機的復雜機器。典型代表是VCL,它可以在瞬間產生數千種不同的病毒。傳統的特征識別方法在搜索和求解時無法使用,需要對指令進行宏觀分析,解碼後對病毒進行搜索和求解。變體機是壹種指令生成機制,增加了解碼的復雜度。
網絡,蠕蟲階段第壹部分第二部分
從65438到0995,隨著互聯網的普及,病毒開始通過互聯網傳播,這只是對前幾代病毒的改進。在非DOS操作系統中,“蠕蟲”是壹個典型的代表。它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡函數搜索網絡地址,將自身擴散到下壹個地址,有時存在於網絡服務器和啟動文件中。
窗口階段
1996隨著Windows和Windows95的日益普及,利用Windows工作的病毒開始發展。他們修改(NE,PE)文件,典型代表就是DS。3873,這類病毒比較復雜,他們使用保護模式和API調用接口,清除方法也比較復雜。
大病毒階段
1996,隨著Windows Word功能的增強,還可以利用Word的宏語言編寫病毒。這種病毒使用類似Basic的語言,很容易編寫,會感染word文檔。Excel和AmiPro中工作機制相同的病毒也屬於這壹類。因為Word文檔格式不開放,所以很難查出這類病毒。
互聯網階段
1997隨著互聯網的發展,各種病毒開始通過互聯網傳播,攜帶病毒的數據包和郵件越來越多。如果不小心打開這些郵件,機器可能會中毒。
Java,郵件炸彈階段
從65438年到0997年,隨著Java在萬維網上的普及,利用Java語言傳播和獲取信息的病毒開始出現,典型代表就是JavaSnake病毒。還有壹些病毒利用郵件服務器進行傳播和破壞,比如郵件炸彈病毒,嚴重影響互聯網的效率。